Наконец-то возобновились работы над CSP и прояснились перспективы её дальнейшего развития.
В первую очередь это вызвано началом глубокой переработкой внутренней инфраструктуры Cat Company.
Текущая инфраструктура (как аппаратная, там и программная её части) была заложена в 2011 году и с тех пор получала лишь косметические изменения. А некоторые концептуальные подходы к организации обеспечения работы и вовсе датируются 2007-м годом. Всё это начало выливаться в то, что эта инфраструктура уже мало соответствовала как текущим требованиям к организации работ, так и текущий требованиям к информационной безопасности. Кроме того поддержание её работоспособности начинало требовать всё больше и больше времени. В связи с этим с начала 2015 года началась разработка плана по её модернизации.
Первым реальным шагом в этом направлении стал переход на использования виртуальных машин на интернет-сервере с разделением всех сервисов на 3 VM (почтовый-сервер, публичный web-сервер и Redmine/Subversion-сервер), перевод Redmine/Subversion-сервера с ОС Linux на ОС Solaris, а также повсеместное внедрение шифрования (до этого шифровались лишь отдельные папки, да и то была возможность утечки данных через систему резервного копирования).
Вторым шагом стало отделение стадии шифрования/логирования доступа от непосредственно обработки пользовательских запросов для протокола HTTPS (часть стратегии изоляции ключей шифрования и append-only хранилища для логов), а также доработка почтового сервера: внедрение DKIM (потребовало чтобы все отправляемые письма домена проходили через почтовый сервер, а не отправлялись серверами напрямую), удалённых Relay`ев (отличаются от обычных клиентов тем, что могут передавать почту от любого адреса в домене, а не только от своего адреса) и системы фильтрации на основе плюс-адресов (пока находиться в стадии тестирования).
Отделение стадии шифрования/логирования доступа осуществляется с помощью reverse-proxy, который выступает в качестве front-end`а к VM с сервисами. При выборе ОС на которой будет работать reverse-proxy по ряду причин был сделан выбор в пользу доработки для этих целей CatServerLinux. До этого CSL использовался только во внутренней сети для тестирования SkyUD. Теперь же встал вопрос о его использовании в production (слегка забегая вперёд скажу, что использовать CSL планируется как минимум на пяти VM с различным функционалом, относящимся к production). Естественно в CSL пришлось добавить ряд новых возможностей и программ, а кроме того провести серьёзную ревизию безопасности.
Собственно по результатам этой ревизии CSLv2 пришлось признать переходной версией, эксплуатация которой будет ограничиваться только reverse-proxy (вы сейчас читаете эту статью как раз благодаря работе системы под управлением CSL). Однако эти же результаты определили дальнейший вектор развития CSP на ближайшее время:
- Временный отказ от развития направлений NUMA и DMM (Distributed-Memory Machine)
- Временный отказ от развития направления DNA
- Доработки CSL для её использования в качестве сервера приложения/Web-сервера на SMP машине (причём, пока что, с упором на работу в режиме VM)
- Создание полноценного инсталяционного диска для CSL (у CSLv2 есть только установочный скрипт, CSLv1 вообще инсталировалась вручную)
- Создание ряда утилит для удобной организации всего цикла резервного копирования (в рамках глобальной стратегии резервного копирования, восстановления после сбоев и защиты от утечек информации)
- Создание своей замкнутой системы работы с логами
- Создание супервизора узла и утилиты удаленного управления узлом (замена Init, CryptSetup, Crond+Sendmail, SSH+Bash, Fail2ban и т.д.)